【Azure AD】パスワードリセットのログ

皆さん、こんにちは。国井です。

今日は完全な備忘録です。
2014年7月に「クラウドからActive Directoryのパスワードを変更する方法」という投稿で、
Azure Active Directory Premiumを利用することで、Microsoft Azure のユーザー用ポータル画面であるアクセスパネルからパスワードをリセットし、オンプレミスのActive Directoryのパスワードをリセットさせることができると紹介しました。

そのパスワードリセット機能を利用した場合、ディレクトリ同期ツールを使ってAzureユーザーのパスワードをオンプレミスADユーザーに同期しますが、この同期は3時間に1回のタイミングで行われる同期ではなく、別のプロセスによって行われています。そのため、miisclient.exeのOperationsログからはパスワードが同期されたことを確認できません。

そこで、パスワードの同期はイベントビューアからアプリケーションログを使って確認します。

image

image

パスワード同期が始まったことはPasswordResetServiceソースのID31001、同期完了はID3002でそれぞれ確認できます。

誰かの役に立てれば幸いです。

 

 

ディレクトリ同期を今すぐ実行する方法 – AADSync版

皆さんこんにちは、国井です。

2014年10月に「ディレクトリ同期を今すぐ実行する方法 – 2014年版」という投稿をさせていただき、
Start-OnlineCoexistenceSyncコマンドレットが有効だという話をさせていただきました。

ところが、前回の投稿でも登場したAADSyncでは、Start-OnlineCoexistenceSyncコマンドレットがなくなり、DirSyncで行っていたディレクトリ同期を今すぐ実行する方法が利用できなくなりました。

では、AADSyncツールではどうやってディレクトリ同期を今すぐ実行するか?

その答えはタスクスケジューラにありました。

[タスクスケジューラ]管理ツールからAADSyncのタスク(Azure AD Sync Scheduler)を開き、右ペインの[実行]をクリックすれば、いつでも実行開始できます。

image
([トリガー]タブを見ると、3時間ごとに同期タスクを実行するように設定されていることがわかりますね)

また、[操作]タブを見ると、c:\program files\microsoft azure ad sync\binフォルダーにある
DirectorySyncClientCmd.exeが同期実行のプログラムになっていることが確認できます。

image

 

つまり、DirectorySyncClientCmd.exeを実行すれば、ディレクトリ同期を今すぐ実行できることがわかります。

Office 365管理者のためのディレクトリ同期ツール入門 AADSync編

皆さん、こんにちは。国井です。

Office 365管理者のためのディレクトリ同期ツール入門シリーズの最後は
Azure Active Directory Sync(AADSync)ツールについてです。

2015年1月時点では、Office 365管理ポータルからダウンロード可能な
ディレクトリ同期ツールはDirSyncツールですが、将来的にAADSyncツールに
置き換わるものと思われます。

AADSyncツールを使うと嬉しいことは、なんと言っても
マルチフォレストでのディレクトリ同期に対応していること!

ということで、今回はAADSyncツールを確認してみましょう。

■ ■ ■

まず、AADSyncツールはマイクロソフトのダウンロードサイトよりダウンロードできます。
ダウンロードサイトを見ると、英語版のみがダウンロード可能であるかのように書いてありますが、
実際にはマルチランゲージ対応なので、日本語OSにインストールすれば、
セットアップウィザードは日本語になります。

AADSyncのインストールは至って簡単で、セットアッププログラムを起動して
インストールパスを指定するだけ。

AAD001

インストールが終わると、ディレクトリ同期に関する情報を設定します。
なお、ここから先の設定はデスクトップに作成されるショートカットから
改めて実行することも可能です。

image

AAD004

ここで、複数のフォレスト(ドメイン)を指定すれば、待望のマルチフォレスト対応が実現します!
ですが、今回はシングルフォレストで先を急ぎます。

AAD005

ディレクトリ同期を行う際、どの属性を使ってADユーザーとAzure ADユーザーを
マッピングするか?についての設定です。
Alternate Login IDの機能を利用する場合はここでカスタマイズします。

AAD006

パスワード同期を行うか?パスワードライトバック機能を使うか?などを
選択できます。ちなみにパスワードライトバックとは、Azure AD Premiumに含まれる
セルフサービスのパスワードリセット機能でパスワードをリセットしたときに、リセットしたパスワードを
オンプレミスのActive Directoryに同期させる機能です。
(「クラウドからActive Directoryのパスワードを変更する方法」で紹介したEnable-OnlinePasswordWriteBackに相当する操作です)
それから、Azure ADアプリと属性フィルターについては話が長くなるので場を改めて紹介します。

AAD008

残りはすべて次へ進めていくとウィザードが完了します。

AAD011

AAD012

AADSyncもDirSyncと同様にmiisclient.exeツールは用意されています。
ただしパスはc:\Program Files\Microsoft Azure AD Sync\UIShellに変更になりました。

AAD013

画面構成はDirSyncツールと基本的には同じですが、[Joiner]メニューはなくなりました。

image

Connectorsメニューを見ると、MAの名前がドメイン名になっています。
カンの良い人なら、もうお気づきですね。
マルチフォレストの場合はフォレストごとにMAが作られます。

image

先ほど、オブジェクトのマッピングを担当するJoinerメニューはなくなったといいましたが、
正確には別ツールで用意されるようになった、というのが正しい表現です。
miisclientツールと同じフォルダーにSyncRulesEditor.exeという名前で用意されています。

image

Synchronization Rules Editorツールでは、マッピングに関する設定ができます。
マッピングだけでなく、同期に関するフィルター設定などもすべてここで行うことになります。
このあたりはMVPふじえさんの[AAD/Office365]AAD Sync Betaを試すでも
紹介しているので、ぜひご一読ください。

image

Synchronization Rules EditorツールにあるInboundとOutboundというのは
Forefront Identity Managerで登場する着信同期規則(ISR)と発信同期規則(OSR)のことです。FIMだとFIM専用のポータルサイトから規則を作成しますが、Synchronization Rules Editorツールではすべてこの画面から作成します。

こうやって見ると、AADSyncツールを使いこなすにはFIMの知識が必要になってきていることがわかりますね。FIMを学習するリソースは世の中に多くないので、ちょっと苦労しそうです。

 

Office 365管理者のためのディレクトリ同期ツール入門(3)

みなさん、こんにちは。国井です。

今回はOffice 365管理者のためのディレクトリ同期ツール入門の第3回目として
ディレクトリ同期ツールを使ってディレクトリの同期が一部のユーザーだけで行われるように構成する方法について紹介します。

まずは前回も紹介したスライドから。

image10[1]

前回も、その前も、Active Directory Connector MA(ADMA)とWindows Azure Active Directory MA(AzureMA)がディレクトリ同期ツール内に作られ、メタバースを経由して同期が行われることを紹介しました。
そして今回、ADMAでフィルターを設定し、同期しないオブジェクトがメタバースに書き込まれないように構成することで、一部のユーザーだけがOffice 365(Microsoft Azure Active Directory)へ同期される方法を
いくつか見たいと思います。

 

■その1:同期されるドメインのフィルター

同期を行うActive Directoryドメインが複数ドメイン(シングルフォレスト–マルチドメイン)構成の場合、一部のドメインユーザーだけが同期されるように構成することができます。その場合、ADMAのプロパティを開いて、[Configure Directory Partitions]から該当するドメインにチェックをつけます。
これだけで同期対象となるドメインを絞り込むことができます。

MIIS023

 

■その2:同期されるOUのフィルター

同期を行うActive Directoryドメインの中から一部のOUだけを対象に同期させたい場合には該当するOUだけを選んで同期させることができます。その場合、ADMAのプロパティを開いて、[Configure Directory Partitions]から[Containers]をクリックして、該当するOUにチェックをつけます。

MIIS026

 

■その3:同期されるユーザーのフィルター

同期を行うActive Directoryドメインの中から特定の属性を持つユーザーだけを対象に同期させたい場合、同期対象となる属性とその値を設定することができます。
その場合、ADMAのプロパティを開いて、[Configure Connector Filter]から[Data Source Object Type]の[User]をクリックして、Filterを設定します。Filterには同期させたくない属性とその値を設定します。

MIIS027

ディレクトリ同期を使っていて、Administratorユーザーがなんで同期されないの?ディレクトリ同期ツールをインストールすると作られるMSOL_の名前で始まるユーザーがなんで同期されないの?という疑問を持った方も多いと思いますが、それはこのフィルターが設定されているからです。

たとえば、Administratorの場合、isCriticalSystemObject属性がTrueと設定されています。そのため、フィルターの設定により同期されません。また、MSOL_の名前で始まるユーザーもsAMAccountName属性がMSOLで始まる場合には同期されないようにフィルター設定が施されています。そのため、同期されないのです。このように、デフォルトでは15個のフィルターが設定されていますが、管理者がフィルター設定を増やせば、もっと様々な条件をもとに同期するユーザーを絞り込むことができます。

他にもフィルターする方法はいろいろ考えられますが、大きなところとしては以上の3つが使われる可能性の高いフィルターといえます。みなさんの会社のニーズに合わせてぜひ活用してみてください。

2014年の投稿もこれで終了です。
それでは、よいお年をお過ごしください。
Hoping you enjoy a happy new year!

 

■参考サイト
Office 365 Directory Synchronization In-Depth
http://www.messageops.com/documentation/office-365-documentation/office-365-directory-synchronization-in-depth

Active Directory Filtering for Office 365 Directory Synchronisation (Dirsync)
http://netwovenblogs.com/2014/12/02/moving-from-on-premise-to-office-365windows-azure-part-4/

FIM2010 Terminology and Glossary
http://technet.microsoft.com/en-us/library/ee534910(v=WS.10).aspx

Office 365管理者のためのディレクトリ同期ツール入門(2)

みなさん、こんにちは。国井です。

前回、Office 365管理者のためのディレクトリ同期ツール入門の第1回目としてディレクトリ同期ツールのUIツールであるmiisclient.exeの起動方法と簡単な見方を紹介しました。

今回はディレクトリ同期ツールによる同期がどのような流れで行われているか見てみましょう。

まずは前回も紹介したスライドから。

image

Active Directory Connector MA(ADMA)とWindows Azure Active Directory MA(AzureMA)がディレクトリ同期ツール内に作られ、メタバースを経由して同期が行われることを紹介しましたが、具体的にどのようなルートで同期が行われるかについてもMAでは定義されています。

MAで定義されている同期の(基本)ルートは次のとおりです。

1.Active DirectoryからADMAのCSへ同期
(図の1-1に当たるImportという処理で実現しています)

2.ADMAのCSからメタバースへ同期
(図の1-2に当たるSynchronizationという処理で実現しています)

3.Azure ADからAzureMAのCSへ同期
(図の2-1に当たるImportという処理で実現しています)

4.AzureMAからメタバースへ同期
(図の2-2に当たるSynchronizationという処理で実現しています)

5.メタバース内のデータをAzure ADと同期
(図の3に当たるExportという処理で実現しています)

以上がディレクトリ同期の流れになります。
Active DirectoryとAzure ADのそれぞれからImportとSynchronizationを実行し、メタバースにデータを格納しているのはそれぞれのディレクトリに格納されている情報を把握し、差分だけをエクスポートできるようにするためです。

これらの処理は3時間に一度、自動的に行われているため、私たちは意識することがありませんが、これを手動で行いたいとなったら、どのような操作を行えばよいでしょうか?

この点について、続いて見てみましょう。

まずは前回も紹介した、miisclient.exeを起動し、Management Agentsを開き、
Active Directory Connectorを右クリックして、Runをクリックします。

image

すると、Run Profile一覧が表示され、ImportやSynchronizationなどが選択できることが確認できます。

MIIS012

ImportとSynchronizationは同時に行うプロファイルが用意されているので、これを利用すれば便利ですが、すべてのオブジェクトを対象にインポートや同期を行うFull~と前回実行時からの差分だけをインポート/同期するDelta~があることに注意してください。

このことを踏まえて、前の図の1-1~3までを順番に実行すれば、手動でディレクトリ同期を実行することができます。

【コラム】ディレクトリ同期ツール/FIMのトレーニングの現状

一般的にマイクロソフトが提供する製品やサービスに対応するトレーニングは
Microsoft Universityコースとして認定トレーニングプロバイダ(CPLS企業)から提供されます。
しかし、ディレクトリ同期ツールをつかさどるForefront Identity Manager (FIM)の
トレーニングは本稿執筆時点では日本語版も、英語版で提供する企業もありません。

一方、FIMはインストールや初期設定から苦労させられる面倒な製品ですし、
お使いになる機会がありましたら、時間やコストを削減するためにも
一度トレーニングを受けていただきたいのです。

そのため、もしトレーニングを通じてしっかりベースを学習したいということでしたら、
クリエ・イルミネート社と一緒にトレーニングをアレンジメントさせていただくことができますので、気軽に私のメールアドレス(画面右上に書いてあります)またはクリエ・イルミネート社までお問い合わせください。

同期の実行結果はmiisclient.exeのOperationsメニューから確認できます。
それぞれの項目をクリックし、左下ペインを参照すれば、ImportやSynchronizationなどの処理によって、どれだけのオブジェクトの同期が行われたかを確認できますし、リンク(下の図で言うとAdds 6と書かれた部分)をクリックすれば具体的に同期されたオブジェクトを確認することができます。

MIIS002

ただし、オブジェクト一覧は以下のように表示され、私たちの見た目にわかる名前で表示してくれるわけではないので、あてずっぽうで適当なオブジェクトをダブルクリックし、

MIIS020

お目当てのオブジェクトが同期されているか、見つけるしかありません。。

image

最後はちょっと面倒でしたが、
ここまでのことができれば、トラブルが発生したときにトラブルシューティングの一環として、自分で、手動で、同期の処理を行うことができるようになり、「ディレクトリ同期ができない→途方に暮れる」だけではない、対策が自分でとれるようになるのです。

今日はここまでにしましょう。

次回は同期のフィルター設定を確認する予定です。

Office 365管理者のためのディレクトリ同期ツール入門(1)

 

みなさん、こんにちは。国井です。
今日はOffice 365 Advent Calendarに参加しております。

今日の内容はディレクトリ同期ツールです。
Office 365でActive DirectoryとOffice 365(Azure AD)の間でID情報を同期させる際、Office365のサイトからダウンロードして利用可能なディレクトリ同期ツールと呼ばれるツールを使います。ところが、このツール、実はマイクロソフトが提供しているディレクトリ同期サーバー製品である、Forefront Identity Manager(FIM)の簡易版であることをご存知でしたでしょうか?

ディレクトリ同期ツールは3時間に1回の割合で自動的にActive DirectoryのID情報をAzure ADへ同期してくれるので、メンテナンスフリーだと思うかもしれませんが、実際にトラブルに遭遇した場合、どこに問題の原因があるのか、自分である程度は調べられるようになりたいですよね。
そのようなときには、FIMの基本的なところをおさえておくと、役立つかもしれませんので、
実際の画面を見ながら基本を確認しておきましょう。

 

■FIMの処理概要
まず、FIMには3つの代表的なコンポーネントがあります。
それは、
・Management Agent (MA)
・Connector Space (CS)
・メタバース
の3つです。

image

Active DirectoryからAzure ADへ同期する場合、2つのディレクトリどうしを直接結んで同期しているわけではなく、メタバースと呼ばれるFIMが持つデータベースにいったん格納されます。

Active DirectoryとAzure ADでは対応する同じ属性名があるとは限りません。そのため、メタバースを一度経由することで、スキーマの違いを吸収しているのですね。

それから、Active Directoryに格納されているデータをメタバースに格納するとき、
Azure ADに格納されているデータをメタバースに格納するとき、それぞれ中間データベースにいったん格納します。このテンポラリとなるデータベースのことをConnector Space (CS)と呼んでいます。

また、Active Directoryの場合で言うと、Active DirectoryからCSを経由して最終的にメタバースにデータを格納する際、どのようなデータを格納すればよいか?や、Active Directory以外では使われない、グローバルグループ、ドメインローカルグループなどのグループ属性はメタバースにどのような属性として保存すればよいか?などの同期のためのルールを定めたものをManagement Agent(MA)と呼びます。

ディレクトリ同期ツールは、このようにインストールすることにより、メタバースの作成、MAの作成、MA内のCSの定義、同期フローの定義(これについては後で説明します)、などの設定を全部自動的に行ってくれるのです。だからみなさん、「ディレクトリ同期ツールのインストールが長い!」などと文句を言うはやめてあげてください。

 

■ディレクトリ同期ツール(FIM)の起動とインターフェイスの確認
簡単ですが、仕組みが確認できたら、続いてディレクトリ同期ツールを起動します。
ツールはc:\program files\Microsoft Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell\miisclient.exeを実行すると利用できます。

MIIS001

実行するときに注意してほしいのは、インストール後、すぐに実行しないこと。
実行直後はmiisclient.exeにアクセスする権限が割り当てられていないので、
インストールが終わったら、一度サインアウト/サインインをしましょう。

その後、起動すると以下のような画面が表示されます。(FIMでも同じ画面です)
画面上部に
Operations, Management Agents, Metaverse Designer, Metaverse Search, Joinerのボタンがあります。これが大まかにメニューだと思ってください。

まず、Operationsメニュー。
Operationsメニューでは、過去のディレクトリ同期の結果が確認できます。ログの時刻を見てもらうと、おおよそ3時間ごとに同期が実行されていることが確認できます。

MIIS002

続いて、Management Agentsメニュー。
名前のとおり、MAが登録されている箇所です。画面には、
Windows Azure Active Directory Connector(Azure MA)とActive Directory Connector(AD MA)の2つがありますが、
前の図で説明すると、Azure MAはメタバースからAzure ADまでの同期を担当し、
AD MAはActive Directoryからメタバースまでの同期を担当しています。

image

次はMetaverse Designer。
Metaverse Designerはメタバースのスキーマを定義するところです。ディレクトリ同期ツールとしてFIMを使っている場合には、ほとんど設定変更することはないでしょう。

image

Metaverse Searchは名前のとおり、メタバースに登録されたID情報を検索するために使います。Scope by Object Typeからpersonと選んでいただいて検索すると、メタバースに登録されたユーザーの一覧が表示されます。検索結果はdisplayname属性で表示されますが、displayname属性を持たないユーザーがいると、画面に表示されません。だけど、空欄をダブルクリックすると、そのユーザーのプロパティが表示される不思議。

image

最後はJoinerです。JoinerはDisconnector Typeと呼ばれるID情報を表示できるところで、
「Active Directoryの国井ユーザーはAzure ADのKuniiユーザーとみなす」のような2つのIDの関連付けをFIMは行うことで同期を行うのですが、Joinerに表示されるのは関連付けがされていないIDの一覧になります。普通の管理では使うことはあまりないですね。

image

 

■メタバースとCSに登録されたオブジェクトの参照
画面は戻って、Metaverse Searchの検索結果について。
Metaverse Searchで検索したユーザーですが、検索結果のdisplaynameをダブルクリックすると、メタバースに登録されたユーザーの属性情報が確認できます。

image

さらに、Connectorsタブをクリックすると、経由したCS(MA)の名前が表示されます。このケースでは、Active Directory ConnectorとWindows Azure Active Directory Connectorをそれぞれ経由したということがわかります。

image

そして、CSの名前をダブルクリックすると、CSに登録されていた時点でのユーザーの属性情報が確認できます。メタバースと同じように見えますが、よく見ると、CSに保存されていたuserAccountControl属性はメタバースに入ると、消えてなくなっていることが確認できます。

image

このようにFIMの管理画面を見ると、ディレクトリ同期が正常に行えているか、そして同期ができていない場合には、どこに問題があるのか?ということを探るきっかけを色々と与えてくれます。

今日は長くなってしまったので、ここまでにしましょう。続きは次回の投稿で。

 

明日のOffice 365 Advent CalendarはADFS/Office365トレーニングの主催会社として、いつもお世話になっている沼口さんです。お楽しみに。

【ADFS+Office365】 UPNを使わないでシングルサインオン

今回はセミナーで紹介させていただいたAlternate Login IDのフォローアップです。
そのため、前段の説明を多少端折っていることをご了承ください。
(Alternate Login ID=代替ログインIDそのものの説明は公式サイトにもあります。ぜひご覧ください。
)

■ ■ ■

ADFSサーバーを使って、Office 365のシングルサインオンを構成する場合、
今まではユーザーのUPNを使って、Active DirectoryのユーザーとAzure ADのユーザーの関連付けを行います。(正確にはUPN以外のものも使いますが..)

UPNは本来、ユーザー名@ドメイン名で構成されるものですが、Office365へのシングルサインオンを行う場合、関連付けが正しくできるよう、Office365のメールアドレスとUPNが同じ名前でなければなりません。そのため、Active Directoryドメイン名にxxxx.localなんて名前を使っている組織では、代替UPNサフィックスを使ってUPNを構成する必要がありました。
(このあたりはMVP渡辺さんの投稿にある「準備④.代替UPNサフィックスの設定」が詳しいので、
そちらをご覧ください。
)

一方、認証に関わる重要な情報である、UPNを勝手に変えてしまうと、既存のアプリケーションに影響を及ぼす場合があります。

そこで、Windows Server 2012 R2に更新プログラムKB2919355をインストールすると、ADFSを利用したOffice365へのシングルサインオンにUPNを使わなくなります。

では、実際に設定してみましょう。

 

用意するもの

シンプルです。
・Windows Server 2012 R2のADFSサーバー
・更新プログラムKB2919355

あらかじめ、更新プログラムはADFSサーバーにインストールしておいてください。
続いて設定方法です。

 

設定1:UPNの代わりに使う情報の指定

Office365へのシングルサインオンにUPNを使わない場合、代替となる情報をOffice365(AzureAD)に送信しなければなりません。代替の属性はADFSサーバーで
Set-AdfsClaimsProviderTrustコマンドレットを使います。

Set-AdfsClaimsProviderTrust -TrustIdentifier “AD Authority” -AlternativeLoginID mail -LookupForest <Active Directory ドメイン名>

 

設定2:トークンに格納する情報の設定

ADFSサーバーでは、Office365にアクセスする際に送信されるトークンに格納する情報を設定できます。この設定は、ADFSサーバーでOffice365へのシングルサインオンの設定を一通り行えば、ADFS管理ツールの[証明書利用者信頼]で、Microsoft Office365 Identity Platformという証明書利用者信頼ができます。

ALI001

Microsoft Office365 Identity Platform証明書利用者信頼を右クリックして、[要求規則の編集]を開きます。表示される[発行承認規則]タブでトークンに格納する情報は定義されています。
これの1番目の規則の編集画面を開いて、

ALI002

規則の中のsamaccountnameと書いてある部分をmailに書き換えて保存します。

ALI003

以上で、ADFSサーバー側の設定は完了です。

 

設定3:ディレクトリ同期ツールの設定

続いてディレクトリ同期ツールの設定です。
ディレクトリ同期ツールをインストールしたコンピューターから
c:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\UIShell\miisclient.exeを実行します。
実行したツールから[Management Agent]タブをクリックし、Active Directory Connectorのプロパティを開きます。

ALI004

プロパティ画面が開いたら、左ペインの[Configure Attribute Flow]をクリックし、
[object Type: User] を展開して
<dn>,sAMAccountName,userPrincipalName →
userPrincipalName (Rules Extension) のマッピングを
mail → userPrincipalName (Direct) に変更します。

ALI005

 

ここまで設定は完了です。
あとは、ディレクトリ同期を1度実行すれば、Active Directoryユーザーのメールアドレスに基づいて
Azure ADに新しいユーザーが作られるようになります。